【k8s】k8s存储配置之Secret

本文主要是介绍【k8s】k8s存储配置之Secret，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

一、Secret

01_Secret简介

Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 将这些信息放在 secret 中比放在 Pod 的定义或者 容器镜像 中来说更加安全和灵活。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret，同时系统也创建了一些 Secret。

Kubernetes Secret 默认情况下存储为 base64-编码的、非加密的字符串。 默认情况下，能够访问 API 的任何人，或者能够访问 Kubernetes 下层数据存储（etcd） 的任何人都可以以明文形式读取这些数据。

Pod 可以用三种方式之一来使用 Secret：

• 作为挂载到一个或多个容器上的 卷 中的文件。
• 作为容器的环境变量
• 由 kubelet 在为 Pod 拉取镜像时使用

data 和 stringData 字段都是可选的，data 字段中所有键值都必须是 base64 编码的字符串

1.2 Secret类型

• Secret 资源的 type 字段
• 类型默认为 Opaque
  

二、创建 Opaque 类型的Secret

创建Secret官方文档

Opaque Secret其value为base64加密后的值

01_通过命令创建

在定义密码信息时，如果密码有特殊字符，则需要使用 \ 转义符对其进行转义，比如原密码为A!B\C*D则需要以下方式创建（–from-literal表示通过字符创建）

--from-literal=username=devuser --from-literal=password=A\!B\\C\*D

• 创建用户名及密码文件
  mkdir secret
cd secret/
echo 'admin' > username.txt
echo 'westos' > passwd.txt
• 创建secret

kubectl create secret generic my-secret --from-file=username.txt --from-file=passwd.txt
generic：表示通用
my-secret：secret的名称
–from-file=：表示从文件中创建

• 查询详细信息时看不到明文，只能看到被加密过的
  

02_通过yaml文件创建Secret

• 先将字符串转换为 base64
  echo -n 'admin' | base64
echo -n 'westos' | base64
• 编写yml文件

vim mysecret.yml

apiVersion: v1
kind: Secret
metadata:name: mysecret
type: Opaque
data:username: YWRtaW4=password: d2VzdG9z

• 创建secret
  kubectl apply -f mysecret.yml
  

03_将Secret挂载到Volume中

示例1：

编写yml文件创建pod，key与value都被挂载到pod中

vim pod1.yml

apiVersion: v1
kind: Pod
metadata:name: mysecret-pod
spec:containers:- name: demoimage: myapp:v1volumeMounts:- name: secretsmountPath: "/secret" # 挂载路径readOnly: truevolumes:- name: secretssecret:secretName: mysecret # 指定secret为依据创建好的

kubectl apply -f pod1.yml

示例2： 编写yml文件，将指定的key挂载到pod中

vim pod1.yml

apiVersion: v1
kind: Pod
metadata:name: mysecret-pod
spec:containers:- name: demoimage: myapp:v1volumeMounts:- name: secretsmountPath: "/secret"readOnly: truevolumes:- name: secretssecret:secretName: mysecretitems:- key: usernamepath: my-group/my-username
# path为相对路径
# 绝对路径为/secret/my-group/my-username

04_将Secret设置为环境变量

• 环境变量读取Secret很方便，但无法支撑Secret动态更新

vim pod2.yml

apiVersion: v1
kind: Pod
metadata:name: secret-env
spec:containers:- name: nginximage: myapp:v1env:- name: SECRET_USERNAMEvalueFrom:secretKeyRef:name: mysecretkey: username- name: SECRET_PASSWORDvalueFrom:secretKeyRef:name: mysecretkey: password

三、创建 kubernetes.io/dockerconfigjson 类型

• 用以存放访问 Docker 仓库 来下载镜像的凭据。
• 类型 kubernetes.io/dockerconfigjson 被设计用来保存 JSON 数据的序列化形式， 该 JSON 也遵从
  ~/.docker/config.json 文件的格式规则，而后者是 ~/.dockercfg 的新版本格式。 使用此 Secret类型时，Secret 对象的 data 字段必须包含 .dockerconfigjson 键，其键值为 base64 编码的字符串包含 ~/.docker/config.json 文件的内容

创建一个类型为 kubernetes.io/dockerconfigjson 的 Secret

kubectl create secret docker-registry myregistrykey \--docker-server=reg.westos.org \--docker-username=admin \--docker-password=westos \--docker-email=963216757@qq.com

--docker-server：仓库服务器的地址
--docker-username：仓库认证用户
--docker-password：密码
--docker-email：出现问题会发信息到此邮箱

• 查询信息，会产生一个 .dockerconfigjson 文件
  kubectl describe secrets myregistrykey
  
• 测试：设置一个只有该仓库私有的镜像，创建pod，若能运行成功，则认证成功
  vim pod3.yml

apiVersion: v1
kind: Pod
metadata:name: mypod
spec:containers:- name: game2048image: zy.westos.org/westos/game2048imagePullSecrets:- name: myregistrykey # secret名

• 测试：发现mypod状态为Running，拉取私有仓库的镜像成功！！
  
  kubectl describe pod mypod
  

这篇关于【k8s】k8s存储配置之Secret的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---